مرکز فروش و آموزش سرورهای ویپ، تجهیزات شبکه و سانترال پاناسونیک

جمع بندی مبحث امنیت در روترهای میکروتیک و تهیه چک لیست (جلسه ۴۵)

امنیت در روترهای میکروتیک و تهیه چک لیست 
ویدئوی آموزشیدوره روترهای میکروتیک (جلسه 45)
نویسنده مقاله : تیم تولید محتوا تاریخ انتشار : ۱۹ تیر ۱۴۰۳ تعداد دفعات نمایش : 1111 شناسه مقاله : 53687 تعداد دیدگاه : ۱۰ نظر آخرین آپدیت مقاله :
۱۵ مهر ۱۴۰۳
برچسب

جمع بندی مبحث امنیت در روترهای میکروتیک و تهیه چک لیست 

خوب دوستان به آخرین بخش از فصل امنیت در روترهای میکروتیک خوش آمدید!

ما تا به این مرحله سعی کردیم تا درباره تمامی موارد اصلی که برای برقراری امنیت در یک شبکه نیاز است، با شما صحبت کنیم و در راستای این موضوع نیز یک سری از رول ها را هم پیاده سازی کردیم.

اما در این درسنامه قرار است که ما یک جمع بندی کلی از هر آنچه که تا به الان درباره امنیت شبکه مطرح شد، داشته باشیم و در کنار این جمع بندی یک چک لیست جامع و کامل نیز برای شما آماده کرده ایم. شما می توانید با استفاده از این چک لیست در زمان استفاده از هر نوع سیستم میکروتیکی، تمامی مبانی و استانداردهای امنیت را چک نمایید.

دوستان دقت داشته باشید که این چک لیست به صورت کلی است و شما با توجه به اولویت های تان می توانید یک سری موارد را به آن اضافه نمایید. خوب حالا اگر آماده اید با هم به سراغ چک لیست برویم :

چک لیست برقراری امنیت

این چک لیست شامل سرفصل های اصلی و مهمی می شود که در طول دوره امنیت شبکه بارها درباره آنها توضیح داده ایم. از آنجایی که بحث امنیت شبکه یک موضوع بسیار مهم برای عملکرد بهتر شبکه های کامپیوتری است، تسلط بر موضوع های این سرفصل می توانید مسیر امنیت شبکه و مجموعه شما را در یک مسیر امن و درست قرار دهد.

 علاوه بر این، با توجه به این که اکثر مجموعه های بزرگ و کوچک از میکروتیک ها برای شبکه هایشان استفاده می کنند، ما نیز تمرکز اصلی دوره آموزشی مان را بر روی روترهای میکروتیک قرار داده ایم.

خوب؛ حالا باهم به سراغ چک لیست مراحل برقراری امنیت در شبکه های میکروتیک برویم :

گام اول : تنظیمات اکانت

خوب؛ اولین گام در بحث تامین امنیت شبکه، تنظیمات اکانت می باشد. برای این کار نیاز است که ابتدا وارد میکروتیک شویم و بعد reset to factory  کنیم تا تنظیمات اولیه بر روی میکروتیک برگردد و هیچ کانفیگ قدیمی وجود نداشته باشد.

بعد از اجرای این پروسه و وقتی که میکروتیک بالا آمد، باید یوزر پیش فرض آن را که admin است، حذف کنیم و یک یوزر جدید با یک اسم خاص ایجاد نماییم و حتماً یک پسورد قابل اطمینان نیز برای آن تعریف کنیم.

برای چک کردن پسورد هم شما می توانید از یک سری سایت های آنلاین که سرویس را رایگان در اختیار شما قرار می دهند، کمک بگیرید. با این تفاسیر گام اول ما تنظیمات اکانت بود که با حذف یوزر پیش فرض و تنظیم یوزر جدید همراه است. حالا به سراغ گام دوم می رویم.

گام دوم : غیر فعال کردن سرویس پورت های غیر ضروری

خوب این گام شامل غیر فعال کردن سرویس پورت های غیر ضروری می باشد. به طور کلی این گام شامل دو بخش می شود.

  • غیر فعال کردن chttp، winbox، ftp، telnet،  ssh و غیره.
  • در صورت فعال بودن نیاز است که در فیلتر رول ها محدودیت ایجاد نمایید و پورت پیش فرض را تغییر دهید.

دوستان توجه داشته باشید، سرویس هایی که در این فصل درباره آن ها صحبت می کنیم، در واقع سرویس های خود میکروتیک هستند و اصلاً ربطی به کلاینت ها ندارند. قبلاً خدمت تان گفته بودیم که میکرویتک ها به صورت پیش فرض یک سری سرویس های فعال دارند. با توجه به این موضوع، طبیعتاً همه این سرویس ها برای ما کاربرد ندارند. بنابراین بهتر است آن هایی را که کاربرد کمتری دارند را غیر فعال نماییم. مثل چه سرویسی؟!

مثل سرویس http؛ چرا؟ چون ما در حالت معمول با winbox وصل می شویم. بنابراین می توانیم http را غیر فعال نماییم. به دنبال مثال ذکر شده پروتکل های ناامن مثل ftp، telnet و یا حتی ssh که پروتکل امنی است؛ اما باید پورت آن را تغییر بدهید را نیز بهتر است که غیر فعال کنید.

نکته بسیار مهمی که در این بخش وجود دارد این است که اگر قرار است سرویسی برای میکروتیک فعال بماند، حتماً باید در بخش فیلتر رول ها، محدود و مدیریت شود. حالا این محدودیت ها می تواند بر اساس سورس ادرس ها باشد یا پورت ها و یا کلاً تمامی ویژگی های آن سرویس!

گام سوم : پورت اسکن ها

گام بعدی که برای تامین امنیت شبکه باید برداشته شود، جلوگیری از پورت اسکن هاست. برای این کار کافیست که در حالت input بر روی اینتر فیس اینترنت با فعال کردن پورت اسکن، درخواست ها را drop و یا tarpit کنیم.

ببینید دوستان؛ یکی از راه هایی که هکرها می توانند به کمک آن ها به سیستم و شبکه شما نفوذ کنند، پورت اسکن ها می باشند. حالا موضوعی که وجود دارد این است که خیلی از هکرها و یا ربات ها اصلاً پورت اسکن نمی زنند؛ ولی خوب بعضی ها هم این کار را می کنند. بنابراین ما باید از پورت اسکن ها جلوگیری کنیم تا این موضوع اتفاق نیفتد!

گام چهارم : جلوگیری از ورد پکت های نامعتبر!

خوب؛ گام چهارمی که در راستای تامین امنیت شبکه باید برداشته شود، جلوگیری از ورود پکت های نامعتبر است. یعنی چه؟!

یعنی اینکه ما باید جلوی همه پکت هایی که invalid هستند را بگیریم. برای این کار کافیست که در حالت input، بر روی اینترفیس اینترنت، کانکشن هایی که invalid  هستند را drop  کنیم.

گام پنجم : بستن ICMP بر روی  IP PUBLIC

گام بعدی ما بستن ICMP بر روی  IP PUBLIC می باشد. برای این کار کافیست که در حالت INPUT بر روی اینترفیس اینترنت، پروتکل  ICMP را DROP نماییم. پس تنها کاری که باید انجام دهیم این پروسه است.

گام ششم : ساخت ADDRESS LIST  از IP های داخل ایران

گام بعدی که باید برداشته شود این است که از IP های داخل ایران یک ADDRESS LIST ایجاد کنیم. برای دریافت این آدرس لیست شما می توانید از سایت WWW.IP2LOCATION.COM/FREE/VISITOR-BLOCKER اقدام نمایید. این سایت بروزترین لیست ازIP های کل کشورهای دنیا را به کاربرانش ارائه می دهد.

علاوه بر این ما نیز نمونه مرتب شده و آماده این لیست را در سایت PBXSHOP قرار داده ایم. در این پروسه کافیست که فایل دریافتی را با نرم افزار VSCODE اجرا نموده و بعد لیست را وارد میکروتیک کنید.

گام هفتم : محدود کردن NAT ها بر اساس ADDRESS LIST

نکته مهم این بخش این است که زمانی که شما دارید DSTNST بر روی میکروتیک میزنید، در واقع دارید یک دسترسی از بیرون شبکه به داخل شبکه تان ایجاد می نمایید. حالا این دسترسی باید به گونه ای باشد که ربات ها نتوانند آن را پیدا کنند و به سیستم و شبکه شما نفوذ نمایند. برای جلوگیری از این امر نیاز است که شما از پورت های پیش فرض استفاده نکنید و بعد ورودی ها را بر اساس لیستی که ایجاد کرده اید، محدود نمایید.

 در واقع به بیانی روشن تر؛ در صورتی که از DST NAT استفاده می کنیم باید پورت های پیش فرض را تغییر دهیم. مثلا اگر شما در حال انتقال پورت ۵۰۶۰ هستید، به هیچ عنوان نباید دقیقا همان پورت را انتقال دهید. بلکه برای اجرای امنیت نیاز است که این پورت شناخته شده را به یک پورت ناشناخته امن دیگر تبدیل کنیم. علاوه بر این نیاز است که بر روی ADDRESS LIST هم محدودیت ایجاد نماییم.

گام هشتم : محدودیت INPUT بر اساس ADDRESS LIST

گام بعدی ما ایجاد محدودیت بر روی ورودی هاست. برای ای کار کافیست که در CHAIN، حالت INPUT، بر روی اینترفیس اینترنت، کلیه درخواست هایی که خارج از لیست آی پی ایران هستند را (فرقی نمی کند با کدام پروتکل) DROP نماییم.

گام نهم : تغییر پورت پروتکل های شناخته شده مثل SIP/RTP/SSH

حتماً میدانید که ما بارها و بارها در باره این مبحث در طول درسنامه صحبت کرده ایم. با این تفاسیر همین موضوع دال بر اهمیت بالای این موضوع است. دوستان شما به هیچ وجه نباید از پورت های پیش فرض مانند ۵۰۶۰ به همان شکل اولیه شان استفاده کنید. چرا؟ چون این پورت ها به راحتی شناخته و ردیابی می شوند و سیستم شما هک خواهد شد.

خوب دوستان به تصویر زیر نگاه کنید :

امنیت در روترهای میکروتیک تغییر پورت پروتکل های مهم

مستطیل قرمز بزرگی که داخل تصویر مشاهده می کنید، در واقع همان فایروال ماست. حالا فرض کنید که یکی از مستطیل های سورمه ای سمت راست تصویر مرکز تلفن ما و دیگری وب سرور ما باشد. حالا ما از شبکه WLAN برای وب سرور مان به شبکه LAN دسترسی ایجاد می کنیم.

سمت چپ تصویر شبکه WAN و سمت راست تصویر شبکه  LAN ما می باشد. فایروال ما دقیق وسط این دو شبکه قرار دارد و جایی است که پکت ها را کنترل می کند و این کار در بخش فیلتر رول ها انجام می شود.

امنیت در روترهای میکروتیک

خوب دوستان ما دو تا DSTNAT بر روی فایروال مان نوشتیم که همان دو مستطیل باریک زرد هستند. در واقع این دو مستطیل همان دسترسی های ما هستند.

ببینید وقتی شما برای فایروال تان DST NAT ایجاد می کنید، بدین معناست که شما یک درگاهی با یک پورت خاص ایجاد کرده اید که یک سری از کاربرها می توانند با استفاده از این درگاه به سرور ما وصل شوند.

امنیت در روترهای میکروتیک تغییر پورت پروتکل هاس شناخته شده

به عنوان مثال یک درخواستی با پورت ۸۴۰۱ از شبکه WAN به پورت ۵۰۶۰ UDP شبکه LAN وصل می شود. کاری که DSTNAT این وسط انجام می دهد انتقال این درخواست است.

در کل هدف ما از گذاشتن این تصویر این است که نشان دهیم وقتی شما یک DSTNAT ایجاد می کنید، بدین معناست که یک مسیر و درگاه جدید ایجاد کرده اید که هر کسی می تواند از این درگاه استفاده کند و به وب سرور وصل شود. اینجاست که امنیت معنا پیدا می کند و حالا نیاز است که به صورت مخفی این کار را انجام دهید. برای این کار کافیست که پورت اسکن را ببندیم، پورت را تغییر دهیم و روی SRS ADDRESS محدودیت ایجاد نماییم.

امنیت در روترهای میکروتیک تغییر پورت پروتکل هاس شناخته شده

گام دهم : استفاده نکردن از پروتکل های ناامن

این گام نیز گام بسیار مهمی در برقراری امنیت در شبکه تعریف می شود. دوستان دقت کنید که شما به هیچ وجه نباید از پروتکل های ناامن استفاده کنید. چرا؟ مثلا پروتکلی مثل PPTP دقیقا اطلاعات شما را در قالب یک فایل TEXT انتقال می دهد. با این تفاسیر خیلی راحت می تواند این اطلاعات پخش و هک شود.

ببینید دوستان؛ زمانی که یک هک در شبکه رخ می دهد، این هک می تواند از روش ها مختلفی اتفاق بیفتد.

حالت اول: مثلاً ممکن است که هکر به روتر شما وصل شود و وارد تنظیمات روتر گردد. بنابراین خیلی راحت پسورد را عوض کند و به شما اجازه ورود به روتر را ندهد. خوب این یک حالت است.

حالت دوم: حالتی است که داخل شبکه LAN رخ می دهد. مثلاً هکر به سازمان شما نفوذ می کند و یک DHCP SERVER کاملاً فیک را RUN می کند. البته که هکر می تواند هزار و یک کار دیگر نیز انجام دهد که اکثر آن ها به بحث امنیت داخل سازمانی مربوط می شود که از بحث ما به دور است. چرا که بحث ما در این فصل منحصراً درباره حملاتی است که خارج از شبکه LAN، یعنی از شبکه WAN انجام می شود.

حالت سوم : حملاتی است که از روتر وارد می شود و به کلاینت و یا سرور شما داخل شبکه می رسد. ببینید؛ یک سری حملات وجود دارند که به صورت مستقیم به خود فایروال هستند. یک سری حملاتی هم هستند که از درگاه ایجاد شده شما برای ورود به سرور و یا کلاینت استفاده می شوند.

در کنار این موارد مواقعی هم هست که هکر خودش مستقیماً به روتر وصل می شود. اما ما در بحث امنیت شبکه همه چیز را با هم چک کردیم. این بدان معناست که هم روتر را امن کردیم و هم درگاه ها را؛ اما بحث داخل شبکه به ما ارتباطی ندارد!

پس دوستان موضوع امنیت موضوع به شدت مهمی است. شما می توانید این موضوع را هم برای خود میکروتیک، هم برای روتر شبکه تان و هم برای درگاه هایی که ایجاد کرده اید به راحتی پیاده سازی نمایید.

گام یازدهم : آپدیت روتر

خوب دوستان، گام یازدهم یا همان گام آخر ما، آپدیت روتر می باشد.شما حتماً باید این موضوع را در برنامه کاریتان قرار دهید و هر زمان که نسخه جدیدی از OS آمد حتماً آن را آپدیت نمایید. در واقع نیاز است که شما وضعیت OS روترتان را به صورت دوره ای چک نمایید.

این چک کردن هم به لحاظ آپدیت بودن و هم به لحاظ LOG های میکروتیک می باشد. شما باید ببینید که چه LOG هایی وجود دارند و مورد مشکوکی روی روتر نباشند. به طور کلی نیاز است که هر هفته و یا هر دو هفته یک بار، روترها چک شوند. یادتان باشد که این کار باید با حساسیت هر چه تمام تر انجام گردد.

جمع بندی و سخن آخر

خوب دوستان به بخش نهایی و پایانی بحث مان رسیدیم. امیدواریم که این فصل هم بتواند شما را در مسیر برقراری امنیت شبکه تان، یاری نماید.

 

درباره تیم تولید محتوا

تیم تولید محتوا و سئو پی بی ایکس شاپ. در تلاشیم تا بهترین محتوای آموزشی را تولید کنیم، همراه ما باشید

دیدگاه شما درباره این مقاله چیست ؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

  1. محمد رضا گفت:

    کاربردی و مثل همیشه عالی

    1. خواهش می کنم. امیدوارم که موفق باشید

  2. حامد گفت:

    سلام
    واقعا لذت بردم از این روان بودن و آرامش در نحوه آموزش
    مدت ها بود قصد فراگیری میکروتیک رو داشتم ولی ازش یک غول ساخته بودم و سمتش نمی رفتم وقتی چند جلسه اول رو دیدم فهمیدم از جای درستی دارم آموزش می گیرم.
    واقعا واقعا واقعا سپاسگذارم
    فقط اگر ممکن هست توضیحی در خصوص پروتکل L2TP هم بدید که عالی میشه

    1. سلام و ارادت
      امیدوارم که دوره میکروتیک استارت خوب و پر انرژی باشه برای شما. تا جایی که زمان داشته باشیم با افتخار برای شما محتوا تولید می کنیم.
      بله تانلینگ با پروتکل l2tp هم منتشر خواهد شد.
      موفق باشید

      1. حامد گفت:

        سپاس بیکران بابت دوره بی نظیر میکروتیک و جلسه تانلینگ که تو راهه

        1. سپاس از شما دوست عزیز. امیدوارم که موفق باشید

  3. رضوی گفت:

    بسیار عالی و کاربردی بود
    در صورت امکان لطفاً فایل چک لیست را به صورت ضمیمه در کنار ویدیو قرار بدهید
    با تشکر فراوان

    1. سلام و ارادت
      بله حتما در اسرع وقت انجام خواهد شد

  4. مرتضی گفت:

    با سلام و احترام. بدون شک میتونم بگم این دوره کاربردی ترین ، کاملترین و روان ترین دوره ای بوده که تا الان دیدم حتی ازون دوره های پولی که خریدم و واقعا نقایص زیادی داشتن . بسیار بسیار ممنونم از لطفتون .اگر یک لطف بکنین دوره آموزشی فایروال فورتینت هم بگذارین عالی میشه .

    1. سلام و ارادت
      از اینکه دوره میکروتیک مورد تایید شما بوده، بسیار خوشحالیم
      انشالا که موفق باشید
      ممنون از پیشنهاد شما، در برنامه آموزشی قرار خواهیم داد

پشتیبانی آنلاین واتساپ

منتظر پیام شما عزیزان هستیم